Интернет проект security.txt — знакомство с еще одним .well-known файлом

Основная идея проекта — формализация взаимодействия между внутренней ИБ и внешними исследователями, давая четкое указание как и куда направлять информацию об уязвимостях или проблемах безопасности. Формализация взаимодействия — серьезная проблема, не все сайты имеют программы bug bounty, или даже просто указывают контакты специалистов по безопасности. А попытки достучаться через службу поддержки и твиттер зачастую заканчиваются уверениями что «Все так и должно быть», и последующим игнорированием.

Конечно, это будет работать только если компания, размещающая информацию в security.txt, готова проверять и своевременно реагировать на информацию, полученную через этот канал.



Разработка стандарта ведется с августа 2017 года, пока еще это только интернет проект (Internet Draft) и ему не назначен свой номер RFC. Несмотря на это, им уже пользуются несколько крупных компаний таких как Google, Dropbox, Pixiv. В рунете у меня получилось найти Goloslogos, Чистую Линию, Top Deck, и Drive2.

В security.txt предлагается указывать следующую информацию:

  • Способ связаться: ссылка на форму обратной связи, программу bug bounty или почтовый адрес (это единственный обязательный пункт)
  • Публичный ключ PGP: для шифрования чувствительной информации
  • Ссылку на Hall of Fame: для выражения признательности
  • Языки для связи: возможно указать несколько
  • Ссылку на сам security.txt: необходима для проверки подлинности, если вы заверили его цифровой подписью
  • Ссылку на политику безопасности: если она есть у вашего ресурса
  • Ссылку на вакансии: если вы ищете специалистов по безопасности

Помочь с генерацией файла в правильном формате может форма на официальном сайте.

Ссылки:

Официальный сайт
Текст проекта на IETF
Гитхаб проекта
  • +32
  • 4,5k
  • 1
Поделиться публикацией

Комментарии 1

    0
    «или даже просто указывают контакты специалистов по безопасности» — о да! «Службу безопасности» в контактах я видел только у Сибура, но и там тупое и полное игнорирование…

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое